TamoSoft: Network Analysis Tools & Security Software
Contents

CommView Help Documentation


    Return to the main product page
 
Introduction
À propos de CommView
Quoi de neuf
Licence d’utilisation
Utilisation de CommView
Aperçu
Sélectionner un périphérique réseau à surveiller
Dernières Connexions IP
Paquets
Journalisation
Affichage des fichiers journaux
Règles
Règles avancées
Alarmes
Reconstruction de sessions TCP
Statistiques et rapports
Utilisation d’alias
Générateur de paquets
Identificateur de fournisseur NIC
Planificateur
Utilisation de Remote Agent
Capture de trafic par boucle
Configuration des Options
Rechercher un paquet
Reference de port
Foire aux questions
Utilisation avancée
Capture d’un trafic de grand volume
Travailler avec Plusieurs Instances
Opérer CommView en Mode Invisible
Paramètres de lignes de commande
Échanger des Données avec Votre Application
Décodage personnalisé
Format des fichiers journaux de CommView
Information
Comment se Procurer CommView
Contactez-Nous
Autres Produits par TamoSoft
Foire aux questions


Dans ce chapitre, vous pouvez trouver les réponses à quelques-unes des questions les plus fréquemment demandées. Le plus récent FAQ est toujours disponible au http://www.tamos.com/products/commview/faq.php .

Q. Est-ce que CommView peut être utilisé pour capturer le trafic d'un adaptateur (RAS) par modem d'accès commuté?

A. Oui, Windows 98/Me/NT/2000/XP/2003.

Q. Qu'est-ce que CommView "voit" exactement lorsqu'installé sur un ordinateur connecté sur un LAN?

A. CommView active le mode confus de la carte-réseau et peut capturer le trafic de réseau sur le segment du LAN. En d'autres mots, il capture normalement et analyse les paquets adressés à tous les ordinateurs sur le segment, pas seulement à ceux où le programme opère. Il y a certaines limitations pour les adaptateurs sans fil Ethernet (vous pouvez contrôler seulement le trafic entrant/sortant) et les réseaux commutés (consultez la prochaine question de ce FAQ sur les commutateurs).

Q. Je suis connecté sur un LAN à travers un commutateur, et lorsque je lance CommView, il capture seulement les paquets envoyés vers et venant de ma machine. Je ne peux voir le trafic sur les autres machines. Pourquoi?
A. Contrairement aux concentrateurs, les commutateurs préviennent les sondeurs (sniffing) confus. Dans un environnement en réseau avec commutateur, CommView (ou tout autre analyseur de paquets) est limité à la capture de paquets radiodiffusés et multidiffusés, , puis pour le trafic envoyé ou reçu par l'ordinateur sur lequel CommView opère. Cependant, les plus modernes commutateurs (switches) supportent le "port miroir", lequel est une caractéristique qui vous permet de configurer le commutateur (switch) pour rediriger le trafic qui a cours sur certains ports ou tous les ports à un port de contrôle désigné sur le commutateur (switch). En utilisant cette caractéristique, vous serez capable de contrôler le segment entier du LAN. Veuillez s'il-vous-plaît vous reférer à la documentation incluse avec votre commutateur (switch) pour connaître la disponibilité de cette caractéristique, ainsi que les instructions de configuration. Les manufacturiers de matériel de réseau nomment cette caractéristique différemment. Ci-dessous se trouve une courte liste de références de matériel par trois manufacturiers majeurs – Cisco, 3COM et Intel qui supportent le port miroir.

Manufacturier   Nom utilisé pour la caractéristique port miroir   Modèles de commutateurs avec support du port miroir    
Cisco   Switched Port Analyzer (SPAN)   Cisco Catalyst 1900 Series Switches Cisco Catalyst 4500 Family Switches Cisco Catalyst 6000 Family Switches    
3COM   Roving analysis port (RAP)   3Com SuperStack 3 Switch 4400    
Intel   Port mirroring   Intel Express 460T Intel Express 480T   


Q. Ok, je suis connecté sur un LAN au moyen d'un concentrateur multiport, mais je ne peux voir le trafic des autres machines encore, comme si c'était un commutateur. Pourquoi?
A. Il existe deux raisons possibles : Soit vous avez un concentrateur multiport qui est déjà libellé en tant que concentrateur multiport, mais qu'à l'intérieur se trouve un commutateur (quelques fournisseurs comme Linksys font de même), ou que vous avez un concentrateur multivitesse, dans lequel cas vous ne pouvez voir le trafic des stations opérant à une vitesse différente de celle de votre carte réseau (par exemple, si vous avez une carte réseau 10Mbit, vous ne pouvez voir le trafic généré par les cartes réseau 100 Mbit).

Q. J'ai un LAN local connecté à Internet par l'entremise d'un routeur Broadband, et je ne puis voir que mon propre trafic. Est-il possible de capturer le trafic des autres machines de mon LAN local ?
R. Oui. Une configuration de réseau local est illustrée ci-dessous :

router1

Puisque votre routeur fonctionne en tant que commutateur, un ordinateur sur votre LAN ne peut voir que son propre trafic (et les diffusions des autres ordinateurs). Toutefois, vous pouvez installez un concentrateur entre le routeur et Internet. Ensuite, installez le second NIC dans votre ordinateur, puis connectez ce NIC à ce concentrateur. Le second NIC n'a pas à être relié à aucun protocole ou à posséder d'adresse IP. Ce serait complètement passif, pous des fins de surveillance seulement. Vous pouvez ensuite utiliser CommView pour capturer les données du second NIC. Cette configuration est illustrée ci-dessous.

router2

Assurez-vous d'installer un concentrateur réel, puisque certains concentrateurs ne sont qu'étiquetés en tant que concentrateurs, mais sont en fait des commutateurs (certains distributeurs comme Linksys le font). Procurez-vous un concentrateur miniature et bon marché. L'un de seconde main fera amplement l'affaire.

Q. Est-ce que CommView peut capturer des données à partir d'un adaptateur de réseau qui n'a pas d'adresse IP?
A. Oui. En fait, l'adaptateur de réseau n'a pas besoin d'être relié à TCP/IP ou à tout autre protocole. Dans une situation où vous tentez de trouver la problématique d'un réseau, il se peut qu'il soit nécessaire de brancher l'ordinateur qui opère CommView à un port ou àun concentrateur disponible. Dans de tels cas, vous n'avez pas besoin de deviner l'adresse IP disponible dans le segment LAN, tout ce dont vous avez besoin de faire est de délier l'adaptateur de réseau du TCP/IP et de commencer à capturer. Avec Windows 2000/XP/2003, ouvrez Control Panel => Network Connexions, cliquez le bouton droit de la souris sur l'icône de connexion, sélectionnez Properties, puis décochez les cases correspondant aux protocoles que vous ne voulez pas voir reliés au NIC. Avec Windows 9x Control Panel => Network, sélectionnez TCP/IP => Your NIC item, cliquez Remove, puis redémarrez la machine.

Q. J'ai lancé le programme et cliqué "Start Capture", mais aucun paquet n'est affiché. Pourquoi?
A. Il y a deux raisons possibles : Vous avez soit sélectionné un adaptateur de réseau inutilisé, ou fait une erreur lors de la configuration des règles de capture. Désactivez les règles et voyez ce qui se produit. Dans tous les cas, même lorsque les règles de capture sont activées, la barre de statut du programme devrait afficher le nombre total de paquets, il faudrait donc verifier ceci avant de paniquer.

Q. J'ai remarqué que les sommes de contrôle (checksums) IP/TCP/UDP des paquets entrants sont incorrectes. Pourquoi donc?
A. Les nouveaux adaptateurs de réseau Gigabit ont une caractéristique appelée TCP/UDP/IP "checksum offload", laquelle permet à l'adaptateur de réseau de calculer les sommes de contrôle (checksums) des paquets, tout en augmentant la performance du système en diminuant l'utilisation du CPU. Puisque CommView intercepte les paquets avant qu'ils n'atteignent l'adaptateur de réseau, la somme de contrôle apparaît incorrecte. Ceci est normal et la seule chose que cela puisse affecter est la reconstruction de sessions TCP, et seulement si vous avez modifié l'option par défaut "Ignore incorrect checksums" (consultez Configuration des options
pour plus d'information).

Q. Est-ce que CommView peut d'exécuter sur des ordinateur multi-processeurs ?
A. Oui, il le peut.

Q. Ma connexion réseau est via un modem-câble/xDSL. Est-ce que CommView sera capable de contrôler le trafic dessus?
A. Si votre modem a une interface dual USB/Ethernet et que vous pouvez la connecter sur une carte Ethernet, CommView sera certainement capable de capturer le trafic sur celui-ci. S'il n'a qu'une interface USB, la meilleure chose à faire est de l'essayer.

Q. Mon logiciel de pare-feu m'avertit que CommView "tente d'accéder à l'Internet". Je suis au courant que certains sites sont capables de pister les utilisateurs en collectionnant l'information envoyée par leur programme via Internet. Pourquoi est-ce que CommView "tente d'accéder à l'Internet"?
A. Ce qui alerte votre pare-feu est la tentative de convertir les adresses IP en noms d'hôtes. Puisque CommView doit contacter votre serveur DNS pour faire une requête DNS, ceci active inévitablement l'alarme. Vous pouvez désactiver cette caractéristique (Settings => Options => Disable DNS resolving), mais dans ce cas, l'onglet Dernières Connexions IP ne sera plus capable de afficher les noms d'hôtes. Les requêtes DNS sont les seuls types de connexions que CommView peut potentiellement effectuer. Il n'y a pas d'autres activités cachées. Nous ne vendons pas de logiciel d'espionnage.

Q. Sous Windows 2000/XP/2003, j'y suis souvent connecté comme utilisateur sans privilèges administratifs. Est-ce que je dois me déconnecter, puis me reconnecter comme administrateur pour être capable d'opérer CommView?
A. Non, vous pouvez ouvrir le fichier de CommView, cliquer avec le bouton droit de la souris sur le fichier CV.exe tout en appuyant sur la touche Shift, puis sélectionner "Run As" du menu contextuel (pop-up). Entrez le nom d'utilisateur et le mot de passe de l'administrateur dans la fenêtre contextuelle (pop-up), puis cliquez OK pour opérer le programme.

Q. Je possède Windows NT, et je vois plusieurs entrées "Remote Access WAN Wrapper" dans la liste d'adaptateurs. Lequel dois-je sélectionner pour que CommView capture mes paquets RAS?

A. Tout dépend de votre système. La chose la plus facile à faire est de les essayer un par un, et dans la plupart des cas, n'importe lequel d'entre eux va fonctionner. Avec un des adaptateurs Remote Access WAN Wrapper, vous pourriez faire face à un effet indésirable : CommView capture et déploie les paquets, mais les paquets ne sont pas délivrés à vos applications en réseau (par exemple, le délai d'attente des connexions est échu, etc.). Si vous avez ce problème, arrêtez seulement de capturer et sélectionnez un différent Remote Access WAN Wrapper à partir de la liste.

Q. Je possède Windows 2000, et lorsque je désinstalle le programme, je reçois ce message : "CommView will now uninstall the drivers. Click "OK" to continue. This can take between 10 and 60 seconds." Mais alors, rien n'arrive!
 
A. Ceci peut se produire s'il y a des connexions actives en réseau lorsque vous désinstallez le programme. Vous devriez temporairement désactiver toutes les connexions actives tel que démontré ci-dessous :

netdisable

Dès que la(les) connexion(s) est(sont) désactivée(s), CommView résumera le processus de désinstallation. Lorsque la désinstallation sera complétée, vous pourrez réactiver les connexions.

Q. Je possède Windows 2000 Terminal Server, et j'ai un problème pour lancer CommView via un Terminal Services client.
 
La seule limitation est qu'un périphérique peut être ouvert par un seul utilisateur au même moment. En d'autres termes, deux utilisateurs (locaux ou distants) ne peuvent capturer le trafic à partir d'un même périphérique en lançant deux instances de CommView sur le même serveur.

Q. CommView peut-il surveiller un périphérique réseau lorsqu'il tourne sous Microsoft Virtual PC ?
A.
Oui. La seule limitation est que le mode passif (promiscuous) n'est pas disponible pour les interfaces virtuelles, donc vous serez limité à la capture de vos propres paquets et des paquets diffusés uniquement.

Q. Lorsque je contrôle ma connexion par modem d'accès commuté, je ne vois aucun paquet PPP durant l'installation de la session (CHAP, LCP, etc). Est-ce normal?
A. Désolé, les paquets PPP ne peuvent être capturés que sous Windows 95/98/NT/ME, CommView ne capture pas de tels paquets sous Windows 2000/XP/2003. Veuillez prendre note que tous les autres paquets PPP qui suivent le processus d'approbation initial sont capturés.

Q. Puis-je changer les cartes PC sur mon portatif pendant que CommView opère?
A. Non, il est plus sécuritaire de fermer CommView, ensuite changer ou brancher/débrancher votre carte, puis redémarrer le programme. La liste d'adaptateurs va être automatiquement mise à jour.

Q. Je suis sur un LAN avec un volume de trafic élevé, et j'ai remarqué que CommView augmente la charge du CPU et/ou devient moins réceptif. Que puis-je y faire?

A. La meilleure façon d'optimiser la performance du programme est d'utiliser des règles pour filtrer vers l'extérieur les paquets que vous n'avez pas besoin de contrôler. Par exemple, envoyer un fichier de 50 Meg entre deux machines sur votre LAN peut générer approximativement 40,000 paquets NetBIOS avec un taux de transfert de données de 1Mbytes par seconde, lequel peut être une charge lourde pour l'application. Mais normalement, vous n'avez pas besoin de visionner tous les paquets NetBIOS envoyés, vous pouvez donc configurer CommView pour capturer les paquets IP seulement. CommView a un système flexible de filtres, et vous pouvez configurer l'application pour afficher seulement les paquets dont vous avez réellement besoin. Si vous êtes interessé(e) dans les informations de statistiques seulement (ces diagrammes verts, graphiques circulaires, et tables d'hôtes), vous pouvez utiliser la commande de menu "Suspend packet output", qui vous permet d'avoir les données statistiques sans déploiement de paquet en temps réel. Aussi, consultez le chapitre Capture d'un trafic de grand volume pour plus d'informations.

Q. Quelques fois, lorsque je lance CommView, je vois l'icône hourglass, mais l'application ne démarre pas. Pourquoi?
A. Soyez certain que vous n'avez pas ouvert la fenêtre de Connexion Properties dans les connexions par modem d'accès commuté de réseau commuté. Vous ne devriez pas ouvrir cette fenêtre lorsque CommView démarre. Lorsque la fenêtre sera fermée, CommView continuera automatiquement à se charger.

Q. Existe-t-il des conflits connus avec tout autre logiciel?

A. Actuellement, nous connaissons des conflits avec les programmes suivants :

·SoftIce par Numega : Possibles pannes de système.  
·PGPNet 7.0 par NAI : Il existe un conflit de logiciel de pilotage de bas niveau résultant en un Écran Bleu de la Mort sous Windows 2000 si PGPNet est relié à une connexion par modem d'accès commuté.  
·Sygate Personal Firewall : Un conflit de pilote résultant en un Écran Bleu de la Mort sous Windows 2000/XP si vous tentez de surveiller l'adaptateur d'accès commuté et que vous utilisez CommView 3.3 ou antérieur. Si vous surveillez une carte Ethernet, vous n'êtes pas affecté. Ce problème a été résolu dans CommView 3.4.  

Si vous croyez que vous avez découvert un conflit avec une application ci-dessus non mentionnée, nous apprécirions que vous nous en fassiez part.

Q. Dois-je être un professionnel pour utiliser ce programme?
A. Non. Nous espérons que même les utilisateurs inexpérimentés vont trouver ce programme utile. Vous n'avez pas besoin d'utiliser toutes ses caractéristiques. Par exemple, même les novices peuvent être interessés à avoir une image nette des connexions LAN à partir et venant de leur ordinateur ou trouver que ce programme installé hier est en fait un Trojan qui envoie vos mots de passe de connexion par modem d'accès commuté à une certaine adresse de courriel.

Q. Où puis-je trouver un bon FAQ sur la capture de paquets et d'analyse de protocoles?

A. Visitez ces sites :

Protocols.com


CommView Tutorial